Вхід Реєстрація
Реклама
Ваше рекламне місце
Забронюйте цей слот без конкуренції на обраний період.
Купити рекламу →
Логотип телеграм спільноти - CyberSecureFox
Додано 06 січ 2025

CyberSecureFox

@cybersecurefox
Кількість підписників: 112
Фото: 18
Посилання: 1,800
Опис:
🦊 Цифровий щит у світі кібербезпеки 🔍 Актуальні загрози та стратегії захисту 🧠 Етичний хакінг, інструменти, інсайди 🚀 Приєднуйтесь, щоб бути в курсі і зробити наш цифровий світ безпечним Зворотній зв'язок: @CyberSecureF0x1 🌐 cybersecurefox.com
Джерело

CyberSecureFox | Натрапив на цікаву історію з npm: пакет acitons/artifact маскувався пі...

Логотип телеграм спільноти - CyberSecureFox CyberSecureFox @cybersecurefox
15 Охват/переглядів 2025-11-17 18:47 Повідомлення №1255
🧩 Натрапив на цікаву історію з npm: пакет acitons/artifact маскувався під actions/artifact. Спойлер: це був контрольований експеримент Red Team від GitHub.Пакет з’явився 29 жовтня і зібрав 47 405 завантажень — класичний typosquatting: одна літера у scope, і ти вже тягнеш не те, що треба 🔎. У шкідливих 4.0.12–4.0.17 спрацьовував postinstall, що підтягав обфускований скрипт із «таймером» до 6 листопада 2025 — вміло й непомітно.Далі verify.js шукав раннери GitHub Actions (GITHUB_*) і зливав тимчасові токени на піддомен app.github.dev з фільтром за власником репо — тобто це був таргетований сценарій 🔐. GitHub каже, що це контрольовані навчання, але майже 50 тис. установок у публічному реєстрі змушують замислитись про межі реалізму 🧪.Що роблю я: фіксую версії (lockfile, npm ci), у CI ставлю npm install --ignore-scripts і даю мінімальні права GITHUBTOKEN 🛡️. Плюс allowlist namespace’ів і звичка двічі читати назви пакетів — бо помилка тут дорога_. А ви б дозволили такі тренування у публічних реєстрах?🔗 Докладніше:https://cybersecurefox.com/uk/typosquatting-npm-github-actions-red-team#безпека #supplychain #devops #githubactions #npm #redteamCyberSecureFox